Уязвимости в компонентах с открытым исходным кодом, такие как широко распространенные недостатки, обнаруженные 10 месяцев назад в Log4j 2.0, заставили ученых, занимающихся данными, переоценить открытый исходный код, часто используемый в анализе и создании моделей машинного обучения.
Согласно отчету Anaconda, компании, занимающейся разработкой платформ для анализа данных, в прошлом году 40% опрошенных ученых, бизнес-аналитиков и студентов сократили использование компонентов с открытым исходным кодом, в то время как треть оставалась неизменной, и только 7 % включили в свои проекты больше открытого исходного кода. По данным Anaconda, большинство опрошенных не подчиняются отделу информационных технологий (18%), а работают в собственной группе по обработке данных или исследованиям и разработкам (47%).Состояние науки о данных в 2022 году» отчет, опубликованный на прошлой неделе.
Хотя разработчики программного обеспечения и ИТ-специалисты уже начали проверять безопасный код, обеспокоенность по поводу безопасности программного обеспечения с открытым исходным кодом является относительно новой тенденцией в мире науки о данных, говорит Питер Ванг, соучредитель и генеральный директор Anaconda.
«Мы видим огромную часть людей, работающих в организациях, где ИТ-отделы придерживаются очень строгой позиции в отношении открытого исходного кода и Python», — говорит он. «Это не эксперты-разработчики. … Это специалисты по обработке данных и специалистам по машинному обучению, которые, возможно, вообще не очень опытные разработчики, они используют для анализа все, что могут загрузить, а затем передают это ИТ-отделу».
За последние два года безопасность компонентов с открытым исходным кодом — и цепочки поставок программного обеспечения в целом — стала первоочередным вопросом среди разработчиков программного обеспечения, предприятий и национальных правительств. В мае, например, Национальный институт стандартов и технологий США (NIST) выпущено руководство по устранению рисков в цепочке поставок программного обеспечения. Кроме того, растет число поставщиков программного обеспечения. присоединились к Фонду безопасности открытого программного обеспечения (OpenSSF) Linux Foundation..
В целом зрелость усилий организаций по обеспечению безопасности повысилась. Около половины фирм имеют политику безопасности с открытым исходным кодом, что приводит к улучшению показателей готовности системы безопасности. по данным июньского опроса. Кроме того, за последние 51 месяцев усилия по контролю рисков, связанных с открытым исходным кодом, возросли на 12%. исследование зрелости безопасности заявило в сентябре 21.
«Поскольку внимание уделяется цепочкам поставок программного обеспечения, большинство корпоративных организаций применяют риск-ориентированный подход к безопасности приложений», — заявил Джейсон Шмитт, генеральный менеджер Synopsys Software Integrity Group, в заявлении, анонсирующем исследование. «Такой подход признает, что безопасность не ограничивается базой кода; он включает в себя процесс разработки программного обеспечения, при котором проверки безопасности и тестирование «перемещаются повсюду», чтобы постоянно улучшать результаты безопасности».
Разработчики расширяют использование открытого исходного кода
По другим данным, компании-разработчики программного обеспечения не наблюдают какого-либо снижения использования открытого исходного кода. Вместо этого организации-разработчики сосредотачивают усилия на повышении безопасности программного обеспечения с открытым исходным кодом и используют безопасность в качестве основного ориентира при выборе компонентов.
В "Состояние цепочки поставок программного обеспечения в 2021 году» Например, в отчете Sonatype компания Sonatype обнаружила, что в четырех крупнейших экосистемах с открытым исходным кодом — Центральном репозитории Maven (Java), Node.js (JavaScript), Индексе пакетов Python (Python) и галерее NuGet (.NET) — размещается 37 миллионов проектов и компонентов с открытым исходным кодом, что на 20% больше, чем в прошлом году. Спрос на эти компоненты также растет: было загружено более 2.2 триллиона компонентов, что составляет годовой прирост на 73%.
По словам Трейси Миранды, руководителя отдела открытого исходного кода в Chainguard, отказ от пакетов с открытым исходным кодом, о котором сообщает сообщество специалистов по обработке данных, вероятно, свидетельствует о большей осведомленности о проблемах безопасности, а не об отказе от компонентов с открытым исходным кодом в процессе разработки.
Хотя команды по обработке данных и команды разработчиков могли по-разному отреагировать на серьезные проблемы безопасности — например Log4j 2.0 «При отказе от одного пакета с открытым исходным кодом компаниям не остается ничего другого, как перейти на другой пакет, разработчики которого уделяют больше внимания безопасности», — говорит она.
«Компании используют открытый исходный код как способ увеличить свою скорость, поэтому, если они сокращают масштабы, то к чему они возвращаются? Написание кода самостоятельно? Используете сторонние версии в упаковке?» Миранда говорит, добавляя, что вместо этого «я думаю, мы можем ожидать, что компании будут более разборчивы в отношении качества используемого ими открытого исходного кода, особенно в отношении функций безопасности».
Специалисты по данным играют в догонялки
Разрыв между двумя сторонами, вероятно, обусловлен разной аудиторией в различных опросах. Опрос Anaconda был сосредоточен на профессионалах в области обработки данных, о чем свидетельствует выбор респондентами языков программирования: 58% использовали Python, 42% использовали SQL и только 26% использовали JavaScript.
Лучшим показателем настроений разработчиков программного обеспечения является показатель StackOverflow:Опрос разработчиков 2022», в результате которого выяснилось, что, хотя 58% «людей, обучающихся программированию», используют Python, только 44% профессиональных разработчиков пишут код на этом языке. С другой стороны, согласно опросу StackOverflow, 68% профессиональных разработчиков используют JavaScript.
Кроме того, в то время как специалисты по обработке данных работают в компаниях, которые в подавляющем большинстве (87%) допускают использование программного обеспечения с открытым исходным кодом, около четверти (26%) имеют минимальный контроль со стороны ИТ-отдела за их выбором открытого исходного кода, говорится в отчете Anaconda. Еще в 18% компаний ИТ-отдел указывает только около половины доступных компонентов с открытым исходным кодом.
Сопровождающим наиболее важных проектов — а их сотни, если не тысячи — необходимо использовать безопасные зависимости, тестировать собственный код и проверять надежность участников. Специалисты по сопровождению также должны опубликовать систему показателей безопасности — инициатива, созданная Google, теперь находится под управлением Open Source Security Foundation (OpenSSF)., который присваивает проекту оценку безопасности на основе почти 20 различных критериев.
Хотя осведомленность, вероятно, растет, быстрого решения не существует, говорит Миранда.
«Реальность такова, что более безопасных вариантов раньше не существовало», — говорит она. «Обрезать ненужные зависимости, чтобы уменьшить поверхность атаки, разумно, но это сложно сделать, когда дерево зависимостей выросло».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
